币态网加密行业警报
React Server Components中的一个关键安全漏洞引发了加密行业的紧急警告,攻击者迅速利用这一漏洞窃取用户钱包和传播恶意软件。
安全联盟指出,攻击者正在积极利用CVE-2025-55182漏洞,呼吁所有网站立即审查其前端代码,以识别可疑资产。
该漏洞不仅影响Web3协议,还波及所有使用React的网站,攻击者正针对各个平台的许可签名进行攻击。
用户在签署任何交易时面临直接风险,因为恶意代码会拦截钱包通信并将资金重定向至攻击者控制的地址。
利用CVE-2025-55182的加密攻击
我们注意到,通过利用最近的React CVE,上传到合法(加密)网站的攻击行为显著增加。
所有网站现在都应立即检查前端代码,排查可疑资产。
— 安全联盟 (@_SEAL_Org) 2025年12月13日
关键漏洞导致远程代码执行
React官方团队于12月3日披露了CVE-2025-55182,基于Lachlan Davidson在11月29日通过Meta Bug Bounty的报告,将其CVSS评分定为10.0。
这一未经认证的远程代码执行漏洞利用了React解码发送至服务器功能端点的有效负载的方式,使攻击者能够构造恶意HTTP请求,在服务器上执行任意代码。
该漏洞影响React版本19.0、19.1.0、19.1.1和19.2.0,涉及react-server-dom-webpack、react-server-dom-parcel和react-server-dom-turbopack等包。
包括Next.js、React Router、Waku和Expo在内的主要框架需立即更新。补丁已在版本19.0.1、19.1.2和19.2.1中发布,Next.js用户需在多个版本之间进行升级,从14.2.35到16.0.10。
遗憾的是,研究人员又发现了两个新的重大漏洞。
研究人员在尝试利用上周的补丁时,发现了React Server Components中的两个新漏洞。
这些问题与上周的关键CVE是不同的。React2Shell的补丁仍然有效于远程代码执行漏洞。
— React (@reactjs) 2025年12月11日
Vercel已部署Web应用防火墙规则,以自动保护其平台上的项目,但公司强调,仅依靠WAF保护是不够的。
“必须立即升级到补丁版本,”Vercel在其12月3日的安全公告中表示,并补充道,该漏洞影响处理不可信输入的应用程序,可能导致远程代码执行。
多个威胁团体发起协调攻击
谷歌威胁情报组记录了自12月3日以来的广泛攻击,追踪从机会主义黑客到政府支持的行动的犯罪团伙。
中国黑客组织在被攻陷的系统上安装了多种类型的恶意软件,主要针对亚马逊云服务和阿里云的云服务器。
这些攻击者采用复杂的技术,维持对受害系统的长期访问。
一些团体安装了创建秘密通道以进行远程控制的软件,而其他团体则部署了持续下载额外恶意工具的程序,这些工具伪装成合法文件。恶意软件隐藏在系统文件夹中,并自动重启以避免检测。
多个团体将恶意软件伪装成常见程序,或利用合法的云服务(如Cloudflare Pages和GitLab)隐藏其通信。
— John Hultquist (@JohnHultquist) 2025年12月13日
以经济利益为动机的犯罪分子自12月5日开始加入攻击潮,安装加密挖矿软件,秘密利用受害者的计算能力生成门罗币。
这些挖矿程序在后台持续运行,增加电费开支,同时为攻击者创造利润。地下黑客论坛迅速充斥着分享攻击工具和利用经验的讨论。
历史性供应链攻击模式持续
React的这一漏洞紧随9月8日的攻击,黑客入侵了Josh Goldberg的npm账户,并发布了18个广泛使用包的恶意更新,包括chalk、debug和strip-ansi。
这些工具每周下载量超过26亿次,研究人员发现了加密剪贴板恶意软件,能够拦截浏览器功能,将合法的钱包地址替换为攻击者控制的地址。
Ledger首席技术官Charles Guillemet将该事件称为“大规模供应链攻击,”建议没有硬件钱包的用户避免链上交易。
攻击者通过伪装npm支持的钓鱼活动获得访问权限,声称账户将在9月10日之前更新双因素认证凭证,否则将被锁定。
— Cryptonews.com (@cryptonews) 2025年8月12日
全球Ledger数据显示,2025年上半年,黑客在119起事件中盗取了超过30亿美元,70%的泄露发生在资金被公开之前。
被盗资产的回收率仅为4.2%,洗钱过程现在只需几秒钟而非几个小时。
目前,使用React或Next.js的组织被建议立即更新至版本19.0.1、19.1.2或19.2.1,部署WAF规则,审计所有依赖项,监控网络流量中的wget或cURL命令,并寻找未授权的隐藏目录或恶意shell配置注入。
